VPN Virtual PrivateNetworks Préparé par: Ayoub SECK Ingénieur-Chercheur en Télécommunications Spécialiste en Réseaux IP et Télécoms mobiles Certifié: JNCIA, CCNA-SECURITY, CCNP,CCDP Suggestions: seckayoub@gmail.com africip.wordpress.com 1
Définition Virtuel: Des informations d un réseau privé sont transportées par un réseau public Privé: le trafic est crypté pour conserver la confidentialité des données. Suggestions: www.africip.wordpress.com 2
Avantages d un VPN Réduction des coûts: Les VPN éliminent les coûts liés à l expansion d un WAN lorsqu une organisation s agrandit ou a des bureaux à des endroits éloignés. Sécurité: Les VPN utilisent les meilleurs protocoles d authentification et d intégrité Scalabilité Chaque télétravailleur peut avoir accès au VPN quelque soit son FAI e son endroit Suggestions: www.africip.wordpress.com 3
Types de VPN Suggestions: www.africip.wordpress.com 4
Les solutions CISCO VPN Router: CISCO ISR-Supporte VPN Site à site et Accès à distance. Conçu pour SMB PIX 500: Pare-Feu pour SOHO et Entreprises. Supporte VPN Site à site et Accès à distance ASA 5500: Remplace les PIX Concentrateur VPN: pour IPSEC VPN Suggestions: www.africip.wordpress.com 5
Tunnel GRE GRE: Generic Routing Encapsulation(rfc 1720 et 2784) GRE supporte plusieurs types de protocoles de niveau3 grâce à l entête GRE. L avantage de GRE est qu il peut etre utilisé pour tunneliser un trafic non IP Contrairement à IPSEC, Il supporte aussi du trafic multicast et broadcast; les protocoles de routage sont donc supportés Par contre GRE ne fournit pas de cryptage du trafic comme IPSEC le fait. Identifie la présence d entete optionnelle Identifie le type de paquet 0X800 si le paquet est IP Suggestions: www.africip.wordpress.com 6
Les 5 étapes de la configuration du tunnel GRE Créer l interface du tunnel (interface tunnel 0) Assigner un adresse IP au tunnel Identifier l interface source du tunnel (tunnel source) Identifier la destination du tunnel(tunnel destination) Configurer le protocole sur lequel GRE fait l encapsulation(tunnel mode gre) Suggestions: www.africip.wordpress.com 7
Suggestions: www.africip.wordpress.com 8
Dépannage d un tunnel GRE Le tunnel et le protocole GRE sont actifs si: Les tunnels source et destination sont configurés Le tunnel de destination est dans une table de routage Les keepalives sont reçus(s ils sont utilisés) Le mode par défaut du tunnel est GRE Remarques: Le tunnel GRE ne supporte pas de crypatagecontrairement à l IPSEC GRE supporte aussi bien l unicast que le multicast et le broadcast, ce qui n est pas le cas d IPSEC(pas de protocole de routage) Suggestions: www.africip.wordpress.com 9
Architecture réseau IPSEC Suggestions: www.africip.wordpress.com 10
IPSEC(rfc2401-2412) Suggestions: www.africip.wordpress.com 11
Exemples d implémentation Suggestions: www.africip.wordpress.com 12
Confidentialité Pour assurer la confidentialité, les données sont cryptées dans le tunnel VPN. Le hackagede la clé par brute force attack dépend de sa taille et de la vitesse de traitement de la machine hackeuse. 1 an pour une clé de 64 bit avec une machine sophistiquée Pour 128 bit, le hackageva prendre 10^19 ans Suggestions: www.africip.wordpress.com 13
Confidentialité DES: Data Encryption Standard-Chiffrement symétrique 3DES: Appliquer 3 clés de chiffrement sur chaque bloc de 64 bits AES: Advanced Encryption Standard: Suggestions: www.africip.wordpress.com 14
Intégrité A la source, le message et une clé secrète partagée sont hachées en utilisant des algortihmesde hachage. La valeur hachée est envoyé e sur le réseau A la destination la valeur hachée est récupérée et comparée à la valeur envoyée. Les algorithmes utilisés sont: Message Digest 5(128 bits pour la clé secrète partagée) Secure Hash Algortihm(160 bits de clé secrète) Suggestions: www.africip.wordpress.com 15
INTEGRITE Suggestions: www.africip.wordpress.com 16
Authentification- PSK Suggestions: www.africip.wordpress.com 17
Authentification-RSA Suggestions: www.africip.wordpress.com 18
Echange de clés Les algorithmes de cryptage et de hachage utilisent des clés secrètes partagées. On doit donc crypter et décrypter ces clés telle est l utilité des algorithmes de Diffie Hellman DH1: 768 bits: DES et 3DES DH2: 1024 bits: AES,DES et 3DES DH5: 1536 bits: AES Suggestions: www.africip.wordpress.com 19
LES PROTOCOLES IPSEC AH: Authentication Header ESP: Encapsulationg Secuity Protocol ESP et AH s appliquent aux paquets en 2 modes: Mode Transport: La sécurité est fournie à partir du niveau Transport d OSI. L adresse IP est en clair Mode Tunnel: Cryptage Suggestions: à www.africip.wordpress.com partir du niveau3 20
Implémentation des VPN IPSEC Les VPN IPSecnégocient les paramètres d échange de clé de cryptage, établissent la clé partagée et authentifient le peer. Les paramètres négociés entre les 2 nœuds sont appelés Association de Sécurité(SA). DH est utilisé pour créer la clé privée partagée mais IPSEC utilise le protocole IKE pour établir le processus d échange de clés. IKE utilise UDP port 500; C est un protocole hybride combinant ISAKMP(Internet Security Association and Key Management Protocol) et des méthodes d échange de clés ISAKMP définit le format du message et les mécanismes des protocoles d échange de clé Suggestions: www.africip.wordpress.com 21
Fonctionnement d IKE Phase1:Dans la phase1, les peers négocient les policy sets, s authentifient et installent un tunnel sécurisé entre eux Phase2: Les associations de sécurité(sa) sont négociées par ISAKMP. Les fonctions suivantes sont réalisées à la phase2: Négociation des paramètres de sécurité IPSEC(IPSEC transform set) Etablissement des SA IPSEC et leur renégociation Suggestions: www.africip.wordpress.com 22
Configuration d un VPN site à site Etape1: S assurer que les ACL sont compatibles avec IPSEC Etape2: Créer un règle ISAKMP pour déterminer les paramètres qui seront utilisés pour établir le tunnel Etape3: Définition de la transformset pour déterminer les paramètres que le tunnel IPSEC va utiliser Etape4: Créer une crypto ACL pour déterminer quel trafic sera envoyé dans le tunnel Etape5: Créer et appliquer une crypto map Suggestions: www.africip.wordpress.com 23
ACL S assurer qu aucune ACL ne bloque les protocoles ESP(50), AH(51) et UDP port 500(ISAKMP) Suggestions: www.africip.wordpress.com 24
Configurer IKE-isakmp Configurer ISAKMP Configurer PSK Suggestions: www.africip.wordpress.com 25
Configurer Transformset IPSEC transform: Spécifie un protocole IPSEC(AH ou ESP) avec ses algorithmes et mode correspondant Ex: AH+HMAC+MD5 en mode tunnel ou bien ESP+DES en mode transport pour la confidentialité Transform Set C est la combinaison de plusieurs (jusqu à 4) IPSEC transforms. Onretrouve dans la combinaison: Mécanisme pour l authetification du traffic Mécanisme pour le cryptage Mode IPSEC(Transport ou tunnel) Crypto ipsectransform-set nom transforme settransform1 [transform2] Suggestions: www.africip.wordpress.com 26
Exemples de combinaison Suggestions: www.africip.wordpress.com 27
Configurer Crypto ACL Ce sont des ACLsétendues utilisées pour déterminer Le trafic à crypter(en sortie) ou Le trafic à bloquer(en entrée) Suggestions: www.africip.wordpress.com 28
Appliquer la Crypto-Map Une crypto-map définit: L ACL à utiliser La machine distante La transformset à utiliser Méthode de gestion des clés La durée des associations Suggestions: www.africip.wordpress.com 29
PARE-FEUX Suggestions: www.africip.wordpress.com 30
Pare-FeuZBF ZoneBased Firewall Les zones délimitent les frontières de sécurité du réseau D une zone à une autre, le trafic est filtré(denyall par défaut) Les interfaces sont assignées aux zones et une inspection est faite sur le trafic allant d une zone à une autre Une ZBF permet d appliquer des règles de sécurité à plusieurs hôtes connectés à une même interface du routeur Suggestions: www.africip.wordpress.com 31
Avantages du ZBF Les règles de sécurité sont configurées en utilisant C3PL Cisco Common Classification Policy Language d où sa souplesse Le ZBF ne dépend pas des ACLs Tout trafic non explictementpermis est bloqué Une règle s applique à tout trafic au lieu de plusieurs ACL et inspections Suggestions: www.africip.wordpress.com 32
DESIGN d une ZBF Définir les zones Le réseau en question doit être divisé en zones avec des niveaux de sécurité sans considérer l infrastructure physique Etablir des règles entre les zones pour chaque pair (source-destination), définir les sessions auxquelles les clients de la zone source pourront accéder sur les serveurs de la zone destination Définir l infrastructure physique Après la définition des zones et les règles entre elles, l infrastructure physique doit être conçue en tenant compte de la sécurité et de la disponibilité Suggestions: www.africip.wordpress.com 33
Suggestions: www.africip.wordpress.com 34
Actions d une ZBF Il existe 3 actions possibles pour un paquet traversant une ZBF Inspect: Le trafic retour(pour les ping) est autorisé Drop: Il correspond au denydans les ACL Pass Il correspond au permit des ACL. L état de la connexion n est pas inspectée mais le trafic est autorisé sur une seule direction Suggestions: www.africip.wordpress.com 35
Différentes actions d une ZBF Suggestions: www.africip.wordpress.com 36
Configuration d une ZBF Créer les zones(zone security) Définir les différentes classes de trafic (classmap type inspect) Spécifier les règles pour le pare-feu(policymap type inspect) Appliquer les règles sur les paires sourcedestination (zone-pair security) Assigner les interfaces du routeur aux zones(zone-member security) Suggestions: www.africip.wordpress.com 37